Lenovo hat vor kurzem Sicherheits-Patches für eine schwerwiegende Sicherheitslücke in seiner Software Fingerprint Manager Pro herausgebracht, die es ermöglichen könnte, dass vertrauliche Daten, die von den Benutzern gespeichert werden, frei verfügbar werden.



29.01.2018 - 21:32 Uhr Geschrieben von Andreas Donath

Der Fingerprint Manager Pro ist ein Dienstprogramm für die Betriebssysteme Microsoft Windows 7, 8 und 8.1, das es Benutzern ermöglicht, sich mit dem Fingerabdruck auf ihren Lenovo PCs einzuloggen. Die Software kann auch so konfiguriert werden, dass sie Website-Zugangsdaten speichert und die Datennutzung per Fingerabdruck authentifiziert. Zusätzlich zu den Fingerabdruckdaten speichert die Software auch sensible Informationen wie z.B. die Windows-Anmeldeinformationen.

Nach Angaben des Unternehmens enthält Fingerprint Manager Pro Version 8.01.86 und früher eine hartkodierte Passwortschwachstelle, identifiziert als CVE-2017-3762, die die Software für alle Benutzer mit lokalem nicht-administrativem Zugriff zugänglich machte.

"Sensible Daten, die von Lenovo Fingerprint Manager Pro gespeichert werden, einschließlich der Windows-Anmeldeinformationen und Fingerabdruckdaten der Benutzer, werden mit einem schwachen Algorithmus verschlüsselt, enthalten ein fest codiertes Kennwort und sind für alle Benutzer mit lokalem, nicht-administrativem Zugriff auf das System zugänglich", teilte das Unternehmen mit.

Die Schwachstelle betrifft Lenovo ThinkPad-, ThinkCentre- und ThinkStation-Laptops und mehr als zwei Dutzend Lenovo ThinkPad-Modelle, fünf ThinkStation-Modelle und acht ThinkCentre-Modelle, auf denen Windows 7, 8 und 8.1 ausgeführt wird.

Lenovo empfiehlt seinen ThinkPad-Kunden dringend, ihre Geräte auf Fingerprint Manager Pro Version 8.01.87 oder höher zu aktualisieren, um das Problem zu beheben.

Da Microsoft die Unterstützung für native Fingerabdruckleser mit dem Betriebssystem Windows 10 hinzugefügt hat und somit die Fingerprint Manager Pro-Software überflüssig wird, sind Lenovo-Laptops mit Windows 10 von der Sicherheitslücke nicht betroffen.